Ответ 1
Эта проблема была открыта в образцах Google-азыкинга Google repo. Похоже, что он долго игнорировался и в конце концов был закрыт этот комментарий. Короче говоря, у них есть следующие предложения.
Мы рассмотрели наши рекомендации и внутренние API-интерфейсы, а поскольку DeveloperPayload не поддерживается во всех функциях In-App Billing API (включая промокоды), мы удаляем рекомендацию использовать его в качестве проверки безопасности.
Как вы можете видеть в нашей документации, на странице "Реализация биллинга в приложении" (https://developer.android.com/google/play/billing/billing_integrate.html) мы добавили рекомендацию
Предупреждение. Не используйте поле разработчика для загрузки в целях безопасности. Это поле не всегда доступно при выполнении задач, связанных с In-app Billing. Дополнительные сведения о лучших рекомендациях по безопасности см. В руководстве по безопасности и дизайну приложений.
Наша рекомендация - проверить на своем собственном бэкэнд, используя API разработчика Play.